ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays

С ФСТЭК в секции на PHDays 2019 обсуждали вопросы уязвимостей с техническим ИБ сообществом. Показали статистику за последние годы – 2х кратный рост в год.

 В середине прошлого года ФСТЭК опубликовали регламент раскрытия уязвимостей. Это не обязательный документ, но в общем он показывает типовой сценарий действий участников раскрытия уязвимостей. При необходимости и обосновании сроки могут продлеваться.

Более плотную работу с вендорами начали именно после принятия регламента. Сейчас есть более 60 уязвимостей «нулевого дня» по которым вендоры долго не реагируют – в ближайшее время будут публиковать без отработки вендором (в урезанном объёме).

ФСТЭК жаловался, что в 2016 году разработали стандарт по безопасной разработке, а к 2019ому можно по пальцам пересчитать количество компаний, задекларировавших его применение.

В рамках обсуждения от участников звучали идеи:

·       указать на сайте ФСТЭК контактов вендоров для оперативной связи при обнаружении информации об уязвимости (что-то подобноенедавно предлагал в блоге)

·       убрать пункт об отказе вендора в устной форме

·       включить в НПА к операторам и лицензиатам сообщать об уязвимостях

·       иногда когда раскрывается уязвимость в продукте одного вендора не учитывается возможность наличия аналогичной уязвимости в продуктах другого вендора

Ответы на заранее подготовленные и живые вопросы от аудитории:

·       откуда берут данные? из открытых источников с использованием ИИ, также из анализа исходного кода

·       как обеспечат качественный анализ уязвимостей для сертифицированных СЗИ – будут повышать требования для спецов испытательных лабораторий; подготовили специальный курс

·       какие риски у исследователей? Для занимающихся противоправной деятельность – есть риск

·       заимствование информации? Оно конечно есть, особенно по западным вендорам; но есть и уникальный контент, особенно по российским производителям

·       кто проверяет актуальность информации? ФСТЭК, их институт, привлекаемые организации

·       будет ли связь уязвимостей с угрозами? Да, но в этом году будут прорабатывать структурирование угроз (видят недостатки), а в следующие уже будут делать связь с уязвимостями

·       что с проектом методики моделирования угроз от 2015? Когда утвердим узнаете. Задача есть, сроков назвать не могу.   На конференции большое количество специалистов, которые и без ФСТЭК знают, как моделировать угрозы.

·       как происходит сертификация Windows 10? Никак. Обратитесь к разработчику Microsoft – они вам подскажут. Позиция ФСТЭК до них доведена. Проблема в сборе телеметрии.

ИБ. Обзор защищенности российских web сайтов

Пару недель назад обновилась до версии 1 достаточно интересная утилита wafw00f. Она позволяет определить каким межсетевым экраном уровня приложения (web application firewall или WAF) защищен web сайт. Поддерживается 112 WAF.

Принцип работы достаточно простой, работает быстро:

·         Отправляем нормальный http запрос

·         Отправляем несколько заведомо подозрительных http запросов, которые WAF (если присутствует) обязан заблокировать

·         По реакции (код ошибки, заголовки, изменение версии web сервера) web сервера / WAF пытаемся определить какое средство защиты используется.

Необходимость применения WAF для защиты важных web ресурсов уже давно осознаны, в БДУ ФСТЭК России есть много угроз для web, справится с которыми поможет только WAF, в системе сертификации есть отдельный класс МЭ уровня приложений и даже 3 сертифицированных решения типа Г.

Было интересно посмотреть какая сейчас статистика использования WAF для защиты российских ресурсов. Для TOP 450 российских сайтов по версии Яндекса получилась следующая картинка.   

Применение WAF в РФ	Количество	%
Не используют WAF	391	86,89%
Используют неизвестный WAF или межсетевой экран / IPS с функцией защиты web	37	8,22%
Cloudflare WAF	21	4,67%
CacheWall WAF	1	0,22%

Выводы. Более 85% ресурсов не защищены WAF. Показатель плачевный.

Около 8 процентов используют средства защиты, которое не удалось утилита не смогла определить (возможно PT AF или Континент WAF), что в общем то хорошо, так как злоумышленникам сложнее обойти средства защиты, о которых ничего не известно.    

КИИ. Планирующиеся штрафы за нарушение требований в области КИИ

В РФ планируется установить административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры.

По всей видимости регуляторы уже наблюдают низкую активность субъектов КИИ по выполнению своих обязанностей либо ожидают что без этих штрафов, стимулов выполнять законодательство в области безопасности КИИ будет недостаточно. Поэтому был подготовлен и выложен на публичное обсуждение законопроект, вносящий 2 новые статьи в КОАП РФ.

В пояснительной записке указывается что авторы считают, что имеющаяся статья 274.1 УК РФ слишком суровая для обычного нарушения требований, поэтому предлагают дифференцированный подход: часть новых пунктов распространяется на всех субъектов КИИ, а другая – только на владельцев значимых объектов КИИ.

Ниже все штрафы на одной картинке

Крайний срок вынесения постановлении о нарушении планируют установить не позднее 1 года со дня совершения правонарушения (по сравнению с ПДн – больший срок, чтобы успеть собрать комиссию и разобраться в сложных случаях). Также определили довольно широкий перечень должностных лиц, наделенных полномочиями составлять протоколы и рассматривать дела о нарушениях.

PS: Законопроект выглядит логичным. Из личного общения с субъектами КИИ могу сделать вывод что наличие таких статей может существенно ускорить (с бесконечности до каких-то 3 лет) работы по ОБ КИИ.  

Пункты нарушений привязаны к конкретным НПА – ты отлично понимаешь, что за невыполнение данного конкретного документа будет именно такой-то пункт КОАП РФ.  В отличие от этого, по ПДн пункты нарушений какие-то выборочные – можно нарушить 90% требований, но под это не будет подходящей статьи и тебя просто не смогут наказать – только пожурить.

PPS: Диапазон сумм штрафов могли бы сделать и побольше, так как некоторые субъекты КИИ – это крупные корпорации и для них такие суммы всё ещё копеечные. На этом фоне более серьезными выглядят штрафы для должностных лиц – заплатить такие из собственного кармана уже не хотелось бы (340 тыс. руб. если нарушил всё что можно).

ИБ. Лучшие практики CIS. 20 ключевых мер защиты

Недавно международное ИТ сообщество CIS (Center for Internet Security) обновили свой документ с лучшими практиками (20 CIS Controls) мер защиты от актуальных угроз ИБ.  В обновлении немного поменялись формулировки мер защиты, угроз которым они противостоят, а также добавлен новый подход к приоритизации мер, под названием – группы реализации Implementation Group, о которых надо рассказать подробнее:

Изначально TOP 20 CIS Critical control – это был набор групп мер приоритезированных по критичности и рекомендованному порядку их применения. Причем первые Basic меры считались основами кибер гигиены, которые должны внедрить все компании (подробнее в моих предыдущих заметках)

Но оказалось, что для некоторых малых и ограниченных в ресурсах компаний не по силам даже Basic группы меры. К тому же раньше не учитывалась разная степень риска в разных организациях.  Поэтому решено было разделить меры на группы реализации IG1, IG2, IG3: 

•         Implementation group 1 - IG1

Организация применяющие IG1 – в основном малый (иногда средний бизнес), с ограниченным опытом в ИТ и кибербезопасности. Основная задача этих организаций - сохранить бизнес в рабочем состоянии, а основной ущерб - от простоя.  Как правило обрабатывают не критичные данные своих сотрудников и финансовую информацию. Если же организации малого бизнеса обрабатывают критичные данные, то должны выполнять меры следующих групп.

Меры защиты, реализуемые в рамках группы IG1, должны осуществляться в варианте требующем минимум компетенций в области ИБ и рассчитаны на коробочные решения оборудования и ПО для малого бизнеса.

•         Implementation group 2 – IG2

В организациях, применяющих IG2 как правило есть выделенные работники отвечающие за управление ИБ и защиты ИТ инфраструктуры. В таких организациях есть процессы и подразделения разной степени критичности. Некоторые подразделения могут быть нацелены в первую очередь на выполнение требований законодательства (compliance).  

Организации группы IG2 как правило обрабатывают важную информацию своих клиентов и контрагентов и устойчивы к коротким перерывам в обслуживании. Основное беспокойство вызывает потеря репутации в случае инцидентов.

Частные меры группы IG2, помогают ответственным за безопасность лицам, справляться с возрастающей сложностью процессов и операций. Установки и настройки некоторых меры будут зависеть от имеющегося в компании уровня технологий и экспертизы.

•         Implementation group 3 – IG3

В организациях группы IG3 тысячи работников, в том числе имеются эксперты по безопасности, которые специализируются на различных аспектах кибербезопасность (например, управление рисками, тестирование на проникновение, безопасность приложений). Системы и данные организаций группы IG3 содержат конфиденциальную информацию или функции, которые строго регулируются или должны соответствовать требованиям.

Организации группы IG3 должны обеспечивать доступность услуг, конфиденциальность и целостность данных. Успешные атаки могут нанести большой вред обществу. Меры защиты, выбранные для IG3, направлены на противодействие целевым и новым атакам от нарушителей с высоким потенциалом.

Пример, таблицы соответствия мер “Инвентаризация и контроль ПО” и групп применения. 

Не правда ли, похоже на уже привычные по документам ФТСЭК / NIST базовые наборы мер в зависимости от класса систем.  Кстати, у CIS уже есть таблицы соответствия CIS Controls – NIST CSF, а значит легко можно сделать аналогичную таблицу соответствия мерам из приказов ФСТЭК.

Далее можно использовать лучшее что есть в CIS Controls – порядок реализации мер начиная с наиболее важных, рекомендации по реализации процедур и использованию решений по автоматизации мер, метрики для контроля эффективности мер.  При этом всё это в общем то не будет противоречить российскому законодательству по ИБ.

PS: Другие статьи по теме лучших практик

Скачать таблицу соответствия CIS Controls и IG

ИБ. Единое встроенное СЗИ

Сегодня Ассоциация российских разработчиков единого встроенного СЗИ, включающая Россети, Газпром, Лукойл, Сбербанк, опубликовала пресс релиз о выпуске Единого встроенного средства защиты информации (далее - ЕВС), разработанного при участи ФСБ России, ФСТЭК России и Минкомсвязи.

Архитектура решения представлена ниже

Основные компоненты решения:

·         Единое встроенное СЗИ нижнего уровня – встраивается в исполнительные устройства, банкоматы, датчики, счетчики, иные аппаратные и технологические устройства

·         Единое встроенное СЗИ среднего уровня – встраивается в телекоммуникационное оборудование, программируемые логические контроллеры, оборудование промышленных сетей передачи данных

·         Единое встроенное СЗИ верхнего уровня – встраивается в АРМ пользователей и операторов, серверы, промышленные серверы

·         Серверы управления (C&C) – иерархическая структура серверов управления любой сложности

Основные функции решения: управление доступом, контроль целостности, регистрацию событий, антивирусную фильтрацию, межсетевое экранирование, подпись и шифрование по ГОСТ информации, защита от утечек, поведенческая аналитика (UBA). Серверы управления обеспечивают мониторинг ИБ, интеграцию с сервисами киберразведки (Threat Intelligence), с ГосСОПКА, автоматическую разработку ОРД и ознакомление с ними пользователей.

Решение получило сертификат ФСТЭК России на соответствие требованиям МЭ, АВЗ, СОВ, ОС, а также положительное заключение ФСБ России на встраивание в любое российское оборудование и ПО – что полностью покрывает все требования по безопасности ПДн, ГИС и КИИ.

Решение поступило в продажу 1 апреля 2019 г. и доступно для загрузки с download сервера ЕВС.

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?  Например, если мы школа или учреждение соц. защиты.

Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь:   

Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.

ИБ. Памятка для пользователей систем банк-клиент и ДБО

В конце прошлого года и начале этого усилились атаки на пользователей организации, занимающихся переводами денежных средств с использованием систем банк-клиент, ДБО и других платежных систем.

Это хороший повод для принятия дополнительных мер защит и для повышения осведомленности пользователей бухгалтерии и казначейства – инструктажей. Но после инструктажа нужно оставить памятку, во-первых, чтобы осведомленность не сильно снижалась со временем, а во-вторых, чтобы в случае инцидента, когда счет идет на минуты, меры начинали приниматься незамедлительно.    

Из того что удалось найти в интернете – общие рекомендации Банка своим клиентам (в основном рассчитанные на администраторов). Либо общие советы пользователям по безопасной работе. Отдельных памяток для пользователей систем банк-клиент не нашел. Также нигде не нашел советов для пользователя, как определить, что инцидент возможно происходит или уже произошел.

Возможно, кому-то будет полезным такой мой вариант памяток

Или скачать по ссылке

Рекомендую дополнить её контактными телефонами банков, с которыми вы работаете, с учетом их операционного дня ближе к времени закрытия планировать контроль состояния счета, а также указать телефон для оперативной связи с лицом ответственным за координацию действий при возникновении инцидента.  

PS: Если я не учел каких то моментов, особенностей, или вы считаете что нужно делать по-другому, обязательно напишите ваш вариант в комментарии.